Дуров и Сноуден поспорили о защищённости Telegram и WhatsApp Статьи редакции
21 сентября экс-сотрудник ЦРУ и АНБ Эдвард Сноуден выразил сомнение в надёжности хранения данных в мессенджере Telegram и предположил, что пользователям лучше общаться с помощью WhatsApp. Основатель Telegram Павел Дуров раскритиковал высказывание Сноудена и технологии защиты WhatsApp.
Вечером 21 сентября Сноуден отвечал на вопросы своих подписчиков о том, какой мессенджер лучше использовать для общения. Ранее в этот же день экс-сотрудник ЦРУ раскритиковал мессенджер Allo от Google за то, что он сохраняет на своих серверах всю переписку пользователей, которая может быть передана правоохранительным органам по их запросу.
По словам Сноудена, пользователям стоит чаще пользоваться защищёнными сетями типа Tor и мессенджерами с усиленным шифрованием — например, Signal. Это не идеальный рецепт для сохранения приватности, однако Signal надёжнее, чем Allo, добавил Сноуден.
In seriousness, this is a complex question for which there is no one right answer. But relative to #Allo, Signal is safer for normal users.
— Edward Snowden (@Snowden) September 21, 2016
Один из пользователей Twitter спросил Сноудена, что он думает о Telegram Павла Дурова, на что экс-сотрудник ЦРУ заявил, что по умолчанию этот сервис менее надёжен, чем WhatsApp, что может представлять опасность для «не-экспертов». Сейчас в WhatsApp используется end-to-end шифрование по умолчанию, тогда как в Telegram этот способ используется только в «секретных» чатах.
By default, it is less safe than @WhatsApp, which makes dangerous for non-experts. https://t.co/v1xy8VffC4
— Edward Snowden (@Snowden) September 21, 2016
В ответ на это Дуров заявил, что «большинство пользователей WhatsApp хранят всю переписку в незашифрованном виде в Google Drive и iCloud» (такая возможность появилась в мессенджере в октябре 2015 года). «В результате, 80% сообщений в WhatsApp и 100% метаданных хранятся в США и доступны американским спецслужбам. Даже если один отключит эти бэкапы, другие пользователи могут хранить их. Это нулевая защита для групп в WhatsApp», — сказал Дуров.
@Snowden Did you take into account that the majority of users of WA store their entire chat histories not encrypted on Google Drive/iCloud?
— Pavel Durov (@durov) September 21, 2016
@Snowden Even if you turn these backups off, your contacts will still backup their chats with you. This also means 0 security in WA groups.
— Pavel Durov (@durov) September 21, 2016
Сноуден ответил, что поведение внешних сервисов значит меньше, чем работа самого приложения и порекомендовал Дурову реагировать на критику через описание изменений сервиса, а не в Twitter. Создатель Telegram ответил, что его приложение предоставляет защищённое «облако» для тех, кому нужно единое хранилище переписки для разных устройств и «реальное» end-to-end шифрование для тех, кто в нём нуждается.
@durov Your work is admirable, but respectfully, I believe it more helpful to respond to criticism through patch notes rather than Twitter.
— Edward Snowden (@Snowden) September 21, 2016
«При этом WhatsApp может отключить их "end-to-end" удалённо со своего сервера в любое время», — добавил Дуров.
@Snowden And real e2e for those who don't. While Whatsapp can switch off their "e2e" remotely from their server for any user at any time.
— Pavel Durov (@durov) September 21, 2016
Впрочем, Сноуден согласился с высказыванием Дурова о том, что WhatsApp практически вынуждает пользователя включить хранение переписки в стороннем хранилище. Кроме того, он назвал «вызывающей сомнение» идею передавать данные о пользователях WhatsApp в Facebook, и добавил, что все сервисы сейчас нуждаются в доработке.
@durov Fair criticism, and I agree with you here. Nexus to Facebook is also cause for concern. Much to improve all around; be first and win!
— Edward Snowden (@Snowden) September 21, 2016
В итоге Дуров также признал, что вести дискуссию в Twitter не имеет смысла и пообещал прислать Сноудену ссылку на исследования по вопросу мессенджеров.
@Snowden Anyway, Twitter is not the best way to have this discussion. I'll be sharing links to relevant research later for you to check out.
— Pavel Durov (@durov) September 21, 2016
Во-первых, Для старта секретного чата нужно, чтобы соебtседник был онлайн. Вдобавок есть графические изображения ключей, которые можно сопоставлять.
Комментарий удален модератором
а так. Когда вы начинаете секретный чат - то севрера дурова не имеют ваших ключей.
Всегда было интересно, как ключ попадает на другое устройство, минуя сервер Telegram. А если все таки не минует, что мешает записать ключ на сервере?
Если я не ошибаюсь, речь идёт об обычном MITM? Ну, для этого и есть сверка ключей на клиентах.
То есть, если Telegram перехватит публичные ключи и будет вести переписку через себя, то отпечатки на клиентах просто не совпадут.
Другое дело, что сервер может сказать клиенту нарисовать нужную картинку в той менюшке, но это можно проверить, заглянув в исходники, например, Android-приложения. Под словом "проверить" я имею в виду "посмотреть, что именно передается в функцию отрисовки отпечатков и откуда это что-то берётся"
Меня в этой нашей телеге не смущают нисколько вероятные проблемы с выворотами государственной цензуры с mitm, но очень и очень сильно смущает, что серверы захардкожены и при желании даже эта текущая реализация блеклистов (ха) создаст проблем обычным баном /24 нескольких подсетей. Бутстрапилку бы какую с dht, об этом пока рано думать, но уже можно начинать.
Дуров ещё в апреле 2015-го говорил про разработку P2P-решения. Видимо, берегут для "особых случаев".
если посмотреть все го лишь один firechat на планете умеет p2p. Есть еще один опенсорс проект - я их проверял - они декларируют что умеют - в реальности - клиенты не обнаруживают друг друга ио ноду найти не могут.
О, отличные новости.
Комментарий удален модератором